एलएफसीए - डेटा और लिनक्स सुरक्षित करने के लिए उपयोगी टिप्स - भाग 18
नब्बे के दशक की शुरुआत में रिलीज होने के बाद से, लिनक्स ने प्रौद्योगिकी समुदाय की प्रशंसा जीती है, इसकी स्थिरता, बहुमुखी प्रतिभा, अनुकूलन क्षमता और ओपन-सोर्स डेवलपर्स के एक बड़े समुदाय के लिए धन्यवाद जो बग फिक्स और सुधार प्रदान करने के लिए चौबीसों घंटे काम करते हैं। ऑपरेटिंग सिस्टम। कुल मिलाकर, लिनक्स सार्वजनिक क्लाउड, सर्वर और सुपर कंप्यूटर के लिए पसंदीदा ऑपरेटिंग सिस्टम है, और लगभग 75% इंटरनेट का सामना करने वाले उत्पादन सर्वर लिनक्स पर चलते हैं।
इंटरनेट को शक्ति देने के अलावा, लिनक्स ने डिजिटल दुनिया में अपना रास्ता खोज लिया है और तब से यह समाप्त नहीं हुआ है। यह एंड्रॉइड स्मार्टफोन, टैबलेट, स्मार्टवॉच, स्मार्ट डिस्प्ले और बहुत कुछ सहित स्मार्ट गैजेट्स की एक विस्तृत श्रृंखला को शक्ति प्रदान करता है।
क्या लिनक्स इतना सुरक्षित है?
लिनक्स अपनी शीर्ष-स्तरीय सुरक्षा के लिए प्रसिद्ध है और यह एक कारण है कि यह उद्यम वातावरण में पसंदीदा विकल्प बनाता है। लेकिन यहाँ एक सच्चाई है, कोई भी ऑपरेटिंग सिस्टम 100% सुरक्षित नहीं है। कई उपयोगकर्ता मानते हैं कि लिनक्स एक फुलप्रूफ ऑपरेटिंग सिस्टम है, जो एक गलत धारणा है। वास्तव में, इंटरनेट कनेक्शन वाला कोई भी ऑपरेटिंग सिस्टम संभावित उल्लंघनों और मैलवेयर हमलों के लिए अतिसंवेदनशील होता है।
अपने शुरुआती वर्षों के दौरान, लिनक्स के पास बहुत कम तकनीक-केंद्रित जनसांख्यिकीय था और मैलवेयर के हमलों से पीड़ित होने का जोखिम बहुत कम था। आजकल लिनक्स इंटरनेट के एक बड़े हिस्से को शक्ति प्रदान करता है, और इसने खतरे के परिदृश्य के विकास को प्रेरित किया है। मैलवेयर के हमलों का खतरा पहले से कहीं अधिक वास्तविक है।
लिनक्स सिस्टम पर मैलवेयर हमले का एक आदर्श उदाहरण एरेबस रैंसमवेयर है, जो एक फाइल-एन्क्रिप्टिंग मैलवेयर है जो दक्षिण कोरियाई वेब होस्टिंग कंपनी नायाना के करीब 153 लिनक्स सर्वरों को प्रभावित करता है।
इस कारण से, आपके डेटा की सुरक्षा के लिए इसे वांछित सुरक्षा प्रदान करने के लिए ऑपरेटिंग सिस्टम को और सख्त करना समझदारी है।
लिनक्स सर्वर सख्त करने के टिप्स
अपने Linux सर्वर को सुरक्षित करना उतना जटिल नहीं है जितना आप सोच सकते हैं। हमने सबसे अच्छी सुरक्षा नीतियों की एक सूची तैयार की है जिन्हें आपको अपने सिस्टम की सुरक्षा को मजबूत करने और डेटा अखंडता बनाए रखने के लिए लागू करने की आवश्यकता है।
इक्विफैक्स ब्रीच के शुरुआती चरणों में, हैकर्स ने इक्विफैक्स के ग्राहक शिकायत वेब पोर्टल पर एक व्यापक रूप से ज्ञात भेद्यता - अपाचे स्ट्रट्स - का लाभ उठाया।
Apache Struts Apache Foundation द्वारा विकसित आधुनिक और सुरुचिपूर्ण जावा वेब एप्लिकेशन बनाने के लिए एक ओपन-सोर्स फ्रेमवर्क है। फाउंडेशन ने 7 मार्च, 2017 को भेद्यता को ठीक करने के लिए एक पैच जारी किया और इस आशय का एक बयान जारी किया।
इक्विफैक्स को भेद्यता के बारे में सूचित किया गया था और उनके आवेदन को पैच करने की सलाह दी गई थी, लेकिन दुख की बात है कि भेद्यता उसी वर्ष जुलाई तक अपरिवर्तित रही, जिस बिंदु पर बहुत देर हो चुकी थी। हमलावर कंपनी के नेटवर्क तक पहुंच हासिल करने और डेटाबेस से लाखों गोपनीय ग्राहक रिकॉर्ड निकालने में सक्षम थे। जब तक इक्विफैक्स को पता चला कि क्या हो रहा है, तब तक दो महीने बीत चुके थे।
तो, हम इससे क्या सीख सकते हैं?
दुर्भावनापूर्ण उपयोगकर्ता या हैकर्स संभावित सॉफ़्टवेयर भेद्यताओं के लिए आपके सर्वर की हमेशा जांच करेंगे, जिसका लाभ वे आपके सिस्टम को भंग करने के लिए उठा सकते हैं। सुरक्षित पक्ष पर रहने के लिए, किसी भी मौजूदा कमजोरियों पर पैच लागू करने के लिए अपने सॉफ़्टवेयर को हमेशा उसके वर्तमान संस्करणों में अपडेट करें।
यदि आप उबंटू या डेबियन-आधारित सिस्टम चला रहे हैं, तो पहला कदम आमतौर पर आपकी पैकेज सूचियों या रिपॉजिटरी को दिखाए गए अनुसार अपडेट करना है।
$ sudo apt update
उपलब्ध अद्यतनों के साथ सभी संकुलों की जाँच करने के लिए, कमांड चलाएँ:
$ sudo apt list --upgradable
दिखाए गए अनुसार अपने सॉफ़्टवेयर एप्लिकेशन को उनके वर्तमान संस्करणों में अपग्रेड करें:
$ sudo apt upgrade
जैसा कि दिखाया गया है आप इन दोनों को एक कमांड में जोड़ सकते हैं।
$ sudo apt update && sudo apt upgrade
RHEL और CentOS के लिए कमांड चलाकर अपने एप्लिकेशन को अपग्रेड करें:
$ sudo dnf update ( CentOS 8 / RHEL 8 ) $ sudo yum update ( Earlier versions of RHEL & CentOS )
एक अन्य व्यवहार्य विकल्प CentOS/RHEL के लिए स्वचालित अपडेट सेट करना है।
असंख्य दूरस्थ प्रोटोकॉल के समर्थन के बावजूद, rlogin, telnet, TFTP और FTP जैसी लीगेसी सेवाएं आपके सिस्टम के लिए बड़ी सुरक्षा समस्याएँ खड़ी कर सकती हैं। ये पुराने, पुराने और असुरक्षित प्रोटोकॉल हैं जहां डेटा सादे पाठ में भेजा जाता है। यदि ये मौजूद हैं, तो दिखाए गए अनुसार उन्हें हटाने पर विचार करें।
उबंटू/डेबियन-आधारित सिस्टम के लिए, निष्पादित करें:
$ sudo apt purge telnetd tftpd tftpd-hpa xinetd rsh-server rsh-redone-server
RHEL/CentOS- आधारित सिस्टम के लिए, निष्पादित करें:
$ sudo yum erase xinetd tftp-server telnet-server rsh-server ypserv
एक बार जब आप सभी असुरक्षित सेवाओं को हटा देते हैं, तो अपने सर्वर को खुले बंदरगाहों के लिए स्कैन करना और किसी भी अप्रयुक्त बंदरगाहों को बंद करना महत्वपूर्ण है, जो संभावित रूप से हैकर्स द्वारा प्रवेश बिंदु का उपयोग किया जा सकता है।
मान लीजिए आप UFW फ़ायरवॉल पर पोर्ट 7070 को ब्लॉक करना चाहते हैं। इसके लिए आदेश होगा:
$ sudo ufw deny 7070/tcp
फिर परिवर्तनों को प्रभावी करने के लिए फ़ायरवॉल को पुनः लोड करें।
$ sudo ufw reload
फ़ायरवॉल के लिए, कमांड चलाएँ:
$ sudo firewall-cmd --remove-port=7070/tcp --permanent
और फ़ायरवॉल को पुनः लोड करना याद रखें।
$ sudo firewall-cmd --reload
फिर दिखाए गए अनुसार फ़ायरवॉल नियमों को क्रॉस-चेक करें:
$ sudo firewall-cmd --list-all
एसएसएच प्रोटोकॉल एक रिमोट प्रोटोकॉल है जो आपको नेटवर्क पर डिवाइस से सुरक्षित रूप से कनेक्ट करने की अनुमति देता है। हालांकि इसे सुरक्षित माना जाता है, डिफ़ॉल्ट सेटिंग्स पर्याप्त नहीं हैं और दुर्भावनापूर्ण उपयोगकर्ताओं को आपके सिस्टम को भंग करने से रोकने के लिए कुछ अतिरिक्त बदलाव की आवश्यकता होती है।
हमारे पास एसएसएच प्रोटोकॉल को सख्त करने के तरीके के बारे में एक व्यापक गाइड है। यहाँ मुख्य आकर्षण हैं।
- पासवर्ड रहित SSH लॉगिन कॉन्फ़िगर करें और निजी/सार्वजनिक कुंजी प्रमाणीकरण सक्षम करें।
- SSH दूरस्थ रूट लॉगिन अक्षम करें।
- खाली पासवर्ड वाले उपयोगकर्ताओं से SSH लॉगिन अक्षम करें।
- पासवर्ड प्रमाणीकरण को पूरी तरह अक्षम करें और SSH निजी/सार्वजनिक कुंजी प्रमाणीकरण से चिपके रहें।
- विशिष्ट SSH उपयोगकर्ताओं तक पहुंच सीमित करें।
- पासवर्ड प्रयासों के लिए एक सीमा कॉन्फ़िगर करें।
Fail2ban एक ओपन-सोर्स घुसपैठ रोकथाम प्रणाली है जो आपके सर्वर को ब्रूटफोर्स हमलों से सुरक्षित रखती है। यह आपके Linux सिस्टम को IP पर प्रतिबंध लगाकर सुरक्षित करता है जो बहुत अधिक लॉगिन प्रयासों जैसी दुर्भावनापूर्ण गतिविधि का संकेत देता है। लीक से हटकर, यह Apache वेबसर्वर, vsftpd और SSH जैसी लोकप्रिय सेवाओं के लिए फ़िल्टर के साथ शिप करता है।
हमारे पास SSH प्रोटोकॉल को और मजबूत करने के लिए Fail2ban को कॉन्फ़िगर करने के तरीके के बारे में एक गाइड है।
पासवर्ड का पुन: उपयोग करना या कमजोर और सरल पासवर्ड का उपयोग करना आपके सिस्टम की सुरक्षा को बहुत कमजोर करता है। आप एक पासवर्ड नीति लागू करते हैं, पासवर्ड शक्ति आवश्यकताओं को सेट या कॉन्फ़िगर करने के लिए pam_cracklib का उपयोग करें।
PAM मॉड्यूल का उपयोग करके, आप /etc/pam.d/system-auth फ़ाइल को संपादित करके पासवर्ड की ताकत को परिभाषित कर सकते हैं। उदाहरण के लिए, आप पासवर्ड जटिलता सेट कर सकते हैं और पासवर्ड के पुन: उपयोग को रोक सकते हैं।
यदि आप एक वेबसाइट चला रहे हैं, तो उपयोगकर्ताओं के ब्राउज़र और वेबसर्वर के बीच आदान-प्रदान किए गए डेटा को एन्क्रिप्ट करने के लिए हमेशा एसएसएल/टीएलएस प्रमाणपत्र का उपयोग करके अपने डोमेन को सुरक्षित करना सुनिश्चित करें।
अपनी साइट को एन्क्रिप्ट करने के बाद, कमजोर एन्क्रिप्शन प्रोटोकॉल को अक्षम करने पर भी विचार करें। इस गाइड को लिखते समय, नवीनतम प्रोटोकॉल टीएलएस 1.3 है, जो सबसे आम और व्यापक रूप से इस्तेमाल किया जाने वाला प्रोटोकॉल है। टीएलएस 1.0, टीएलएस 1.2 और एसएसएलवी1 से एसएसएलवी3 जैसे पुराने संस्करण ज्ञात कमजोरियों से जुड़े रहे हैं।
[आप यह भी पसंद कर सकते हैं: Apache और Nginx में TLS 1.3 को कैसे सक्षम करें]
यह आपके Linux सिस्टम के लिए डेटा सुरक्षा और गोपनीयता सुनिश्चित करने के लिए उठाए जा सकने वाले कुछ कदमों का सारांश था।